Re: win32/wigon. I trojan ?
Изключи си "System Restore" първо.
Дръпни и кабела на Нет-а, за всеки случай.
В краен случай, изчакай 2-3 дена, докато се появят по-надеждни инструменти (и описание) за чистенето на този бацил.
Re: win32/wigon. I trojan ?
по време на "лечението" изключвах мрежовия кабел.
System restore съм го изключил преди известно време.
Май натам отиват нещата... да изчакам да се появи работещ инструмент...
Ама е влудяващо... на всяко новостартирано приложение NOD вади червен прозорец :2guns: :051:
Re: win32/wigon. I trojan ?
"NOD"-а не се справя добре с троянците.
Я по-добре си инсталирай един "Trojan Remover" и го стартирай под "Safe Mode", като предварително си дръпнеш и последните дефиниции от сайта. Не се притеснявай, че е "30-day Trial"-версия - тя си е напълно функционална. Пускай и кажи какво е станало.
http://www.simplysup.com/tremover/download.html
Re: win32/wigon. I trojan ?
Ами ако антивирусни и анти-спай не се оправят, тогава остават само сложни начини.
I. Трябва да намериш къде се намира самия .exe файл на вируса - това става с аналогични на windows-кия task manager програмки (не се сещам за примери в момента)
II. Ако случайно имаш под ръка един windows live cd или нещо подобно - изтриваш всичко, свързано с гадината
III. С autoruns (от sysinternals.com) разглеждаш в детайли кое и къде се стартира - нататък е ясно
IV. С някакъв registry cleaner (а може и с regedit) търсиш всичко, свързано с гадината и триеш (може да пуснеш едно търсене в google за да провериш какви мизерии прави гадината - файлове, регистри и т.н.)
V. Надяваш се някоя антивирусна или анти-спай програма да е намерила решение и да се справи. От антивирусните препоръчвам avast!
Re: win32/wigon. I trojan ?
ами пусни тук един HijackThis лог, ако искаш (принципно с него е възможно да се научиш кофти registry keys и имената на кофти процесите в паметта)
Re: win32/wigon. I trojan ?
Цитат:
Първоначално публикувано от IvO™
"NOD"-а не се справя добре с троянците.
Я по-добре си инсталирай един
"Trojan Remover" и го стартирай под
"Safe Mode", като предварително си дръпнеш и последните дефиниции от сайта. Не се притеснявай, че е "30-day Trial"-версия - тя си е напълно функционална. Пускай и кажи какво е станало.
http://www.simplysup.com/tremover/download.html
Не става...
С Autoruns разглегдах, но не открих нищо, което да ми е подозритрлно (може и да не съм го забелязъл).
В регистъра не открих нищо, свързано с името му.
Май ще се наложи с LiveCD да опитам, лошото е, че нямам такова.
Да препоръчате нещо?
Re: win32/wigon. I trojan ?
С търсене в :Google: за "win32/wigon. I trojan" (с кавичките) излизат 97 резултата.
Във втория има някакво решение ( на втората страница). Прегледай го.
Re: win32/wigon. I trojan ?
Цитат:
Първоначално публикувано от bestman
С търсене в :Google: за "win32/wigon. I trojan" (с кавичките) излизат 97 резултата.
Във
втория има някакво решение ( на втората страница). Прегледай го.
Благодаря за линка! Прегледах го внимателно, направих всичко описано, но пак не стана.
Явно вируса подменя оригиналния файл winlogon.exe.
В Safe mode преименувам го winlogon1.exe, слагам инсталационен диск с WXPSP2 и се опитвам да стартирам
sfc.exe / scannow
за да възстановя оригиналните файлове..... До тук добре, ама след стартиране на sfc.exe се получава следното съобщение:
C:\WINDOWS\system32>sfc /scannow
Windows File Protection could not initiate a scan of protected system files.
The specific error code is 0x000006ba [The RPC server is unavailable.]
Някой да има идея от тук нататък накъде? :)
Re: win32/wigon. I trojan ?
Цитат:
Първоначално публикувано от boishin
Май ще се наложи с LiveCD да опитам, лошото е, че нямам такова.
Да препоръчате нещо?
miniPe by DiGiWiZ
Мога да го кача в някъде, ако не го намериш, 385 MB-та е.
Re: win32/wigon. I trojan ?
Да споделя как реших проблема
Тъй като по неясна до момента причина с инсталационен диск Windows-a отказа да възстанови оригиналните файлове с командата sfc.exe постъпих по-елементарно.
Взех "здрав" winlogon.exe от друга машина с ХР, в Safe mode преименувах заразения, записах в c:\windows\system32 "здравия" и рестартирах. Всичко вече е наред, като отворих system32 за да изтрия подменения и преименован файл, NOD32 ме изпревари откривайки го и го изтърка сам.
Това е.
Дано тази информация да бъде полезна на някого в подобна ситуация... :)